Der Gesetzgeber fordert von Equifax Rechnungslegung wegen massiver Sicherheitsverletzungen

VonCraig TimbergCraig Timberg Nationaler Reporter für TechnologieEmail War Folgen 11. September 2017

Update: Nach der Veröffentlichung dieser Geschichte hat Equifax eine Erklärung abgegeben, die unten enthalten ist.

Wichtige Gesetzgeber forderten am Montag eine detaillierte Bilanzierung der Sicherheitssysteme von Equifax, einer führenden Ratingagentur, nach einem Hack, der Kriminellen Zugang zu sensiblen Informationen von bis zu 143 Millionen amerikanischen Verbrauchern bei einer der beunruhigendsten jemals aufgedeckten Computerverletzungen in Unternehmen verschaffte .

Ein streng formulierter Brief des obersten Republikaners und Demokraten im Finanzausschuss des Senats enthielt eine Liste von 13 Fragen, die die undurchsichtigen Umstände im Zusammenhang mit der Sicherheitsverletzung beleuchten sollten, einschließlich der Daten, die aufgedeckt wurden, wie der Hack erkannt wurde und ob das Unternehmen über geeignete Systeme verfügt Erkennen und Vereiteln solcher Einbrüche.

„Der Umfang und das Ausmaß dieses Verstoßes scheinen ihn zu einem der größten in der Geschichte zu machen, und die Vertraulichkeit der kompromittierten Informationen kann ihn für Steuerzahler und Verbraucher am teuersten machen“, heißt es in dem von Sens. Orrin G. Hatch . unterzeichneten Brief (R-Utah), Vorsitzender des Finanzausschusses, und Ron Wyden (Ore.), dem ranghöchsten Demokraten.

Es nannte Equifax auch einen „kritischen Partner“ der Bundesregierung bei der Verwaltung von IRS, Sozialversicherung, Medicare und Medicaid, was die Aussicht auf „irreparablen Schaden“ für solche Programme erhöht, indem Kriminellen geholfen wird, falsche Identitäten zu verwenden, um staatliche Leistungen und Steuern zu erhalten Rückerstattungen.

Der Brief vom Montag spiegelte die wachsende parteiübergreifende Besorgnis in Washington wider, da Equifax, eine in Atlanta ansässige Kreditratingagentur, die persönliche und finanzielle Daten von 820 Millionen Verbrauchern weltweit sammelt, Schwierigkeiten hat, die Folgen einer Sicherheitsverletzung zu bewältigen, die die Zukunft des Unternehmens getrübt hat.



Hatch gehört zu den ersten Top-Republikanern, die sich zum Equifax-Hack äußern. Als Reaktion darauf sagte das Unternehmen am Dienstag: „Dies sind sehr komplizierte Themen, und wir gehen davon aus, in Zukunft mit Regulierungsbehörden und Gesetzgebern zusammenzuarbeiten. Die Senatoren Hatch und Wyden sprechen in ihrem Schreiben im Namen des Finanzausschusses des US-Senats viele Themen an, und wir planen, ihnen zu helfen, die Informationen zu sammeln, die der Ausschuss über diese Situation benötigt.“

Der Vorstandsvorsitzende Richard F. Smith entschuldigte sich in einer Erklärung am Donnerstag für den Verstoß, hat der Öffentlichkeit jedoch nur wenige Informationen über den Vorfall angeboten, außer dass er von Strafverfolgungsbehörden und einem privaten Cybersicherheitsunternehmen untersucht wird.

Ebenfalls am Montag signalisierte die Sprecherin des Weißen Hauses, Sarah Huckabee Sanders, auch innerhalb der Trump-Administration Besorgnis. Auf die Frage, ob die Equifax-Verletzung die Notwendigkeit einer neuen Regulierung des Umgangs von Unternehmen mit personenbezogenen Daten von Verbrauchern nahelegt, sagte Sanders: „Ich denke, das ist etwas, das wir ausführlich untersuchen müssen.“

Das Unternehmen enthüllte den Hack am Donnerstag – sechs Wochen nach seiner ersten Entdeckung – und hat nicht auf wiederholte Anfragen der Washington Post reagiert, um die Verzögerung zu erklären. Der Aktienkurs von Equifax ist seit der Ankündigung des Hacks um mehr als 20 Prozent gefallen.

Demokraten, darunter Wyden, äußerten sich in den ersten 24 Stunden nach der Aufdeckung des Hacks lautstark, forderten Untersuchungen und stellten die Aussicht auf einen besseren Schutz personenbezogener Daten und Anforderungen an Unternehmen, um Verstöße schnell und eindeutig der Öffentlichkeit zu melden. Unternehmen warten oft Wochen oder Monate, um den Betroffenen Vorfälle zu melden.

Equifax sagte, dass seine „Kerndatenbanken für Verbraucher- oder Handelskreditauskünfte“ anscheinend nicht von den Hackern verletzt wurden. Sie haben jedoch Zugang zu Sozialversicherungsnummern, Privatadressen, Geburtsdaten, Kreditkarten und Führerscheinen erhalten – alles Zutaten, die Identitätsdieben helfen können, sich als andere auszugeben, um Kredite aufzunehmen, Bankkonten zu eröffnen oder sich um Stellen zu bewerben oder staatlichen Leistungen.

Seit der Bekanntgabe des Verstoßes haben mehrere Ausschüsse nun Pläne zur Untersuchung des Hacks und der damit verbundenen Probleme angekündigt. Verbrauchergruppen haben Equifax unterdessen dafür verprügelt, dass es sechs Wochen gebraucht hat, um die Öffentlichkeit auf den Verstoß aufmerksam zu machen, und für die fummeligen Bemühungen des Unternehmens, den Verbrauchern durch eine überlastete Hotline und eine Website mit eigenen Sicherheitsproblemen zu helfen.

In dem Schreiben von Hatch and Wyden wird Equifax gebeten, die Größe und Berichtsstruktur seines Sicherheitsteams zu erläutern, ob es routinemäßig externe Experten zum Testen von Schwachstellen in Anspruch nimmt und ob das Unternehmen über ein etabliertes System zum Empfangen und Auswerten von Berichten über systemische Schwachstellen verfügt.

Die Senatoren baten Equifax auch, zu erklären, wann das Unternehmen den Vorständen und leitenden Angestellten den Verstoß gemeldet hatte. Dazu gehören drei – Chief Financial Officer John W. Gamble Jr.; Joseph M. Loughran III, der Präsident von US-Informationslösungen; und Rodolfo O. Ploder, der Präsident von Workforce Solutions – der in den Tagen nach der Entdeckung des Verstoßes am 29. Juli große Mengen seiner Equifax-Aktien im Gesamtwert von fast 1,8 Millionen US-Dollar verkaufte.

Eine Equifax-Sprecherin sagte der Post letzte Woche, dass die Führungskräfte „zum Zeitpunkt des Verkaufs ihrer Aktien keine Kenntnis von einem Einbruch hatten“.

Damian Paletta hat zu diesem Bericht beigetragen.

Folgen Sie dem Tech-Blog von The Post, The Switch, wo Technologie und Richtlinien miteinander verbunden sind.